課程結構靈活

教學內容實用

教學資源豐富

教學可操作性強

隨著移動互聯(lián)網、云計算、大數(shù)據(jù)、物聯(lián)網等的興起及其網絡服務的廣泛應用，網絡技術的發(fā)展日新月異，隨之而來的網絡安全問題也越來越突出，惡意攻擊者和間諜的犯罪比以往任何時候都來得頻繁，作案工具越來越強大，作案手法更是層出不窮。云網絡中的大數(shù)據(jù)對于惡意攻擊者來說是極具吸引力的，往往成為被攻擊的目標。一旦云網絡系統(tǒng)被惡意攻擊者攻破，大量有價值的數(shù)據(jù)信息將會泄露，對整個企業(yè)甚至整個行業(yè)而言都是毀滅性的打擊。因此，現(xiàn)代網絡的安全防護是至關重要的。如何提高網絡系統(tǒng)的安全運行能力已成為人們亟須解決的問題。每個網絡管理人員、工程技術人員和用戶都應該掌握一定的網絡安全知識與技能，以使得信息系統(tǒng)能夠安全、穩(wěn)定地運行，同時能夠提供安全可靠的服務。

為了幫助讀者掌握網絡安全知識和技術，并能夠在工作中采用正確的措施保護網絡環(huán)境的安全，編者編寫了《網絡安全系統(tǒng)集成》（被教育部評為“十二五”職業(yè)教育國家規(guī)劃教材）。然而，網絡安全威脅不斷出現(xiàn)新的變化，技術發(fā)展十分迅速，教材建設也需與時俱進，才能適應形勢發(fā)展。我們在前書的基礎上，組織行業(yè)、企業(yè)人員對教材內容進行了梳理論證，總結了編者多年來網絡安全實踐及教學的經驗，依據(jù)教育部2019年頒布的《高等職業(yè)學校計算機網絡技術專業(yè)教學標準》中的相關教學要求，按照網絡安全縱深防御體系的構建思路，精心設計了10個教學項目，使得教材內容更加豐富，重點知識更加突出，更貼近教學實際。具體體現(xiàn)在以下幾個方面：

（1）堅持“在做中學”的教育理念。通過任務項目化強化學生的技能訓練，使學生能夠在訓練過程中鞏固所學知識，將所學的知識與網絡安全實踐項目有機地結合起來。

（2）教學資源豐富。教材配套的教學資源是與業(yè)界知名設備商合作開發(fā)的，包括工作原理動畫、操作實踐微課視頻、基于主題內容的PPT和題型多樣的習題集等。

（3）教學可操作性強。本書使用思科的Packet Tracer 7.3網絡模擬器作為學習平臺，所有內容都可在Packet Tracer 7.3上實踐，學生也可以在自己的計算機上完成課后實踐作業(yè)。

本書主要內容涵蓋網絡設備的安全管理、局域網安全技術、網絡訪問控制技術、網絡地址轉換技術、防火墻技術、入侵檢測與防御技術、虛擬專用網絡技術和網絡安全管理技術等，建議教學學時為64學時，理論學時與實踐學時之比為1∶3，各校可根據(jù)學生的學習基礎和實際學情進行適當調整。

本書由重慶電子工程職業(yè)學院唐繼勇、任月輝任主編，葉坤、鄒起、何雨虹、鐘文輝（銳捷網絡股份有限公司）任副主編，其中，項目1和項目2由任月輝編寫，項目3～6由唐繼勇編寫，項目7由葉坤編寫，項目8由鄒起編寫，項目9由何雨虹編寫，項目10由鐘文輝編寫。全書由唐繼勇統(tǒng)稿。

本書在編寫過程中參閱了同行的相關資料，得到編者所在學院、相關企業(yè)的大力支持和幫助，在此向有關同行和單位表示衷心感謝。

限于編者水平，書中難免有不妥和錯誤之處，懇請廣大讀者批評指正。

編 者

2021年5月

項目1 網絡安全概述 1
1.1 數(shù)據(jù)面臨的挑戰(zhàn) 1
1.1.1 保護存儲中的數(shù)據(jù)所面臨的挑戰(zhàn) 1
1.1.2 保護傳輸中的數(shù)據(jù)所面臨的挑戰(zhàn) 1
1.1.3 保護處理中的數(shù)據(jù)所面臨的挑戰(zhàn) 1
1.2 網絡安全的基本問題 2
1.2.1 機密性 2
1.2.2 完整性 2
1.2.3 可用性 3
1.3 網絡安全體系框架 3
1.3.1 IATF模型框架介紹 3
1.3.2 網絡安全分層保護 4
1.4 網絡安全保護機制 5
1.4.1 基于軟件的保護措施 5
1.4.2 基于硬件的保護措施 6
1.4.3 基于網絡技術的保護措施 6
1.4.4 網絡安全教育和培訓 6
1.4.5 建設注重網絡安全意識的文化 6
1.5 過關訓練 6
1.5.1 知識儲備檢驗 6
1.5.2 實踐操作檢驗 7
1.5.3 挑戰(zhàn)性問題 7
項目2 網絡安全技術 8
2.1 密碼技術簡介 8
2.1.1 數(shù)據(jù)加密技術的基本概念 8
2.1.2 傳統(tǒng)的數(shù)據(jù)加密與解密模型 8
2.1.3 常見加密算法舉例 9
2.2 對稱加密算法 10
2.2.1 對稱加密算法通信模型 10
2.2.2 對稱加密算法的優(yōu)缺點 10
2.2.3 對稱加密算法的應用 11
2.3 非對稱加密算法 11
2.3.1 非對稱加密算法通信模型 11
2.3.2 非對稱加密算法的優(yōu)缺點 11
2.3.3 非對稱加密算法的應用 12
2.4 密鑰交換技術 12
2.4.1 DH算法思路 12
2.4.2 DH算法舉例 12
2.4.3 DH算法在VPN中的應用 13
2.4.4 驗證數(shù)據(jù)的加密與解密 13
2.5 散列算法 15
2.5.1 報文摘要算法 16
2.5.2 散列消息認證碼算法 16
2.5.3 安全散列算法 17
2.5.4 數(shù)據(jù)完整性驗證 17
2.6 數(shù)字簽名技術 19
2.6.1 數(shù)字簽名的概念 20
2.6.2 數(shù)字簽名的實現(xiàn)條件 20
2.6.3 數(shù)字簽名的應用 20
2.7 身份認證技術 22
2.7.1 身份認證的特點 22
2.7.2 預共享密鑰認證方式 23
2.7.3 公鑰私鑰對認證方式 23
2.7.4 基于遠程認證撥號用戶服務 24
2.8 過關訓練 25
2.8.1 知識儲備檢驗 25
2.8.2 實踐操作檢驗 27
2.8.3 挑戰(zhàn)性問題 27
項目3 網絡設備的安全管理 28
3.1 設置健壯的密碼 28
3.1.1 密碼配置注意事項 28
3.1.2 配置安全訪問端口密碼 29
3.1.3 設置使能密碼 29
3.1.4 加密配置文件中的密碼 29
3.1.5 設置最短密碼長度 30
3.1.6 修改連接屬性控制Console口的訪問 30
3.2 保護系統(tǒng)文件 31
3.2.1 非授權人員不能隨意接觸網絡設備 31
3.2.2 執(zhí)行密碼修復流程 31
3.2.3 備份及恢復系統(tǒng)文件 32
3.2.4 保護IOS映像和配置文件 34
3.3 遠程安全管理 35
3.3.1 使用ACL限制Telnet的遠程訪問 35
3.3.2 使用SSH遠程管理網絡設備 36
3.4 用戶身份認證 37
3.5 過關訓練 39
3.5.1 知識儲備檢驗 39
3.5.2 實踐操作檢驗 40
3.5.3 挑戰(zhàn)性問題 40
項目4 局域網安全技術 41
4.1 局域網安全威脅概述 41
4.1.1 交換機安全 41
4.1.2 路由器安全 42
4.2 鏈路發(fā)現(xiàn)的攻擊與緩解 42
4.3 VLAN的跳躍攻擊與緩解 43
4.4 端口安全技術與實踐 46
4.5 DHCP欺騙攻擊與防范 48
4.6 ARP欺騙攻擊與緩解 51
4.7 STP操縱攻擊與緩解 53
4.8 使用802.1x保護設備訪問 55
4.9 路由協(xié)議運行安全配置 57
4.9.1 RIPv2協(xié)議認證安全配置 57
4.9.2 OSPF協(xié)議認證安全配置 58
4.9.3 OSPF協(xié)議認證安全配置 58
4.10 路由協(xié)議消聲 60
4.11 過關訓練 61
4.11.1 知識儲備檢驗 61
4.11.2 實踐操作檢驗 64
4.11.3 挑戰(zhàn)性問題 65
項目5 網絡訪問控制技術 67
5.1 訪問控制列表概述 67
5.1.1 訪問控制列表的定義 67
5.1.2 ACL的功能 67
5.1.3 ACL的作用 68
5.1.4 ACL的工作過程 68
5.2 訪問控制列表的分類 70
5.2.1 根據(jù)判斷條件不同 70
5.2.2 根據(jù)標識方法不同 70
5.2.3 基于時間的ACL 70
5.3 通配符掩碼 70
5.3.1 通配符掩碼的作用 70
5.3.2 通配符掩碼的運算 70
5.3.3 常用通配符掩碼 71
5.4 配置標準ACL 71
5.4.1 在全局配置模式下設置條件 71
5.4.2 在接口上關聯(lián)ACL 72
5.4.3 配置標準ACL舉例 72
5.5 配置擴展的ACL 73
5.5.1 擴展ACL命令介紹 73
5.5.2 擴展ACL命令實例分析 74
5.5.3 配置擴展ACL舉例 74
5.6 配置命名ACL 75
5.6.1 命名IP ACL的特性 75
5.6.2 命名ACL的配置 75
5.7 配置基于時間的ACL 76
5.7.1 時間的類型 76
5.7.2 基于時間的ACL簡介 76
5.7.3 基于時間的ACL的配置 76
5.8 訪問控制列表配置實踐 77
5.8.1 應用標準IP ACL控制內部網絡互訪 77
5.8.2 應用擴展IP ACL控制內部網絡
資源訪問 78
5.9 過關訓練 80
5.9.1 知識儲備檢驗 80
5.9.2 實踐操作檢驗 80
5.9.3 挑戰(zhàn)性問題 81
項目6 網絡地址轉換技術 82
6.1 NAT概述 82
6.1.1 NAT技術產生的原因 82
6.1.2 NAT基本術語 83
6.1.3 NAT設備 84
6.1.4 NAT的功能 84
6.2 NAT的分類 85
6.2.1 按轉換IP地址類型分類 85
6.2.2 按實現(xiàn)方式分類 86
6.3 NAT的優(yōu)缺點 87
6.3.1 NAT的優(yōu)點 87
6.3.2 NAT的缺點 88
6.4 NAT的配置 88
6.4.1 配置NAT前的準備工作 88
6.4.2 NAT配置的一般步驟 88
6.4.3 靜態(tài)NAT的配置 89
6.4.4 動態(tài)NAT的配置 90
6.4.5 Port NAT的配置 90
6.4.6 NAT的查看 91
6.5 NAT的弱安全性 91
6.6 NAT配置實踐 91
6.6.1 配置靜態(tài)NAT提供網絡服務 91
6.6.2 配置動態(tài)NAT訪問Internet 93
6.7 過關訓練 94
6.7.1 知識儲備檢驗 94
6.7.2 實踐操作檢驗 95
6.7.3 挑戰(zhàn)性問題 95
項目7 防火墻技術 96
7.1 防火墻的概念 96
7.1.1 防火墻的定義 96
7.1.2 防火墻的主要功能 97
7.1.3 防火墻的局限性 97
7.2 防火墻的分類 98
7.2.1 包過濾防火墻 98
7.2.2 應用級代理防火墻 98
7.2.3 狀態(tài)檢測防火墻 99
7.3 防火墻的區(qū)域劃分 99
7.3.1 外部網絡 100
7.3.2 DMZ 100
7.3.3 內部網絡 100
7.4 防火墻的工作模式 101
7.4.1 路由模式 101
7.4.2 透明模式 101
7.4.3 混合模式 101
7.5 防火墻的體系結構 102
7.5.1 屏蔽路由器體系結構 102
7.5.2 屏蔽主機體系結構 103
7.5.3 屏蔽子網體系結構 104
7.6 硬件防火墻的基本配置 105
7.7 過關訓練 107
7.7.1 知識儲備檢驗 107
7.7.2 實踐操作檢驗 108
7.7.3 挑戰(zhàn)性問題 108
項目8 入侵檢測與防御技術 110
8.1 入侵檢測系統(tǒng)與防御系統(tǒng)概述 110
8.2 入侵檢測系統(tǒng) 111
8.2.1 入侵檢測系統(tǒng)的分類 111
8.2.2 入侵檢測系統(tǒng)的工作過程 113
8.2.3 入侵檢測系統(tǒng)的基本構成 113
8.2.4 常見的入侵檢測技術 114
8.3 入侵防御系統(tǒng) 115
8.3.1 入侵防御系統(tǒng)的概念 115
8.3.2 入侵防御系統(tǒng)的分類 117
8.3.3 入侵防御系統(tǒng)使用的關鍵技術 118
8.4 入侵檢測與防御系統(tǒng)的部署 119
8.5 混合技術解決方案 120
8.6 入侵防御系統(tǒng)的實踐 121
8.7 過關訓練 123
8.7.1 知識儲備檢驗 123
8.7.2 實踐操作檢驗 125
8.7.3 挑戰(zhàn)性問題 125
項目9 虛擬專用網絡技術 127
9.1 VPN技術概述 127
9.1.1 VPN的概念 127
9.1.2 常見VPN封裝協(xié)議 128
9.1.3 VPN連接模式 129
9.1.4 VPN的類型 130
9.2 GRE隧道技術 131
9.2.1 GRE封裝的標準格式 131
9.2.2 GRE的IP in IP 封裝 132
9.2.3 GRE隧道的工作原理 134
9.2.4 GRE VPN的應用場景 136
9.3 IPsec VPN技術 141
9.3.1 IPsec的基本框架結構 141
9.3.2 IPsec VPN的運行模式 141
9.3.3 IPsec VPN的工作原理 145
9.3.4 IPsec VPN的應用場景 150
9.4 SSL VPN技術 154
9.4.1 SSL協(xié)議的框架 154
9.4.2 SSL VPN的工作原理 159
9.4.3 SSL VPN的接入方式 162
9.4.4 SSL VPN的應用場景 164
9.5 過關訓練 170
9.5.1 知識儲備檢驗 170
9.5.2 實踐操作檢驗 171
9.5.3 挑戰(zhàn)性問題 171
項目10 網絡安全管理技術 173
10.1 網絡運行與維護概述 173
10.2 網絡故障排除方法 173
10.2.1 網絡故障排除方法概述 173
10.2.2 網絡設備配置文檔 174
10.2.3 常見網絡故障排除方法 177
10.2.4 網絡故障排除流程 177
10.2.5 網絡故障排除實踐 179
10.3 網絡硬件診斷工具 182
10.3.1 電纜測試儀 182
10.3.2 萬用表 183
10.3.3 網絡萬用表 184
10.3.4 時域反射計 184
10.3.5 數(shù)字式電纜分析儀 185
10.4 網絡安全監(jiān)控 185
10.4.1 系統(tǒng)日志 185
10.4.2 網絡時間協(xié)議 186
10.4.3 簡單網絡管理協(xié)議 186
10.4.4 NetFlow 186
10.4.5 使用SNMP管理網絡設備 186
10.4.6 使用端口鏡像來監(jiān)控網絡流量 188
10.5 過關訓練 192
10.5.1 知識儲備檢驗 192
10.5.2 實踐操作檢驗 193
10.5.3 挑戰(zhàn)性問題 194
參考文獻 195

1. 輸水管線工程風險管理 [張勇 黨亥生 著]
2. 民用航空飛機標準線路施工 [主編　王志敏　陳明]
3. 不息的水脈—大運河講談錄 [趙珩　著]
4. 實用運籌學 [主編　邢育紅　于晉臣]
5. 三峽梯級電站水資源決策支持系統(tǒng)研究與開發(fā) [姚華明 潘紅忠 湯正]
6. 海南黎族民俗文化鑒賞 [龐國華　著]
7. 石墨烯在太赫茲及中紅外頻段電磁器件設計中的應用 [李艷秀 莊華偉 著]
8. 電子技術（第二版） [主編 覃愛娜 李飛]
9. 辦公自動化高級應用 [陳萍 朱曉玉]
10. 信息處理技術員考試32小時通關 [薛大龍]
11. 電子產品設計案例教程（微課版）—基于嘉立創(chuàng)EDA（專業(yè)版） [王靜 莫志宏 陳學昌 丁紅]
12. C程序設計實踐教程 [劉衛(wèi)國]
13. C程序設計（慕課版） [劉衛(wèi)國]
14. Web技術開發(fā)教程（基于.NET開源MVC框架） [王合闖 韓紅玲 王青正 陳海蕊]
15. 商務英語翻譯教程（筆譯）（第四版） [主編 王軍平]
16. 智慧零售技術與應用 [洪旭 著]
17. 建設工程法規(guī)實務 [主編 余瀅]
18. 商務秘書理論與實務（第三版） [主編 張同欽]
19. 程序設計基礎實踐教程（C/C++語言版） [張桂芬 葛麗娜]
20. C++案例項目精講 [主編 楊國興]
21. 勞動爭議處理實務 [主編 王秀卿 羅靜]
22. 工程數(shù)學 [主編 郭立娟 王海]
23. 語音識別理論與實踐 [主編　莫宏偉]
24. 信息系統(tǒng)項目管理師章節(jié)習題與考點特訓（第二版） [主編 薛大龍]
25. 武術基礎教程 [主編 李代勇 謝志民]
26. 計算機網絡實訓教程 [主編 張浩軍 趙玉娟]
27. 畫法幾何與機械制圖習題集（多學時） [主編 趙軍]
28. HCIA-Datacom認證題庫分類精講 [主 編 韓立剛]
29. SwiftUI完全開發(fā) [李智威 著]
30. 網絡規(guī)劃設計師備考一本通 [夏杰 編著]